ChipTan Pin einrichten möglich?

Hallo

Kann man beim ChipTan Verfahren eine zusätzliche Pin für die Tan-Generation einrichten? Ich nutze einen externen Tan-Generator (FlickerCode). Wenn ich die Karte einstecke generiert er die Tan ohne das ich eine Pin eingeben muss. Kann man dafür auch eine Pin vergeben?

Kurz aber falsch.
Ja, kannst Du sehr wohl setzen. Ob deien Bank das unterstützt und was dazu ggf. notwendig ist. Kann Dir nur deine Bank beantworten. Einige Banken müssen dazu im System einstellen, dass die PIN aktiv ist, da -wie msa richtig geschrieben hat- die ermittelte TAN mit aktiver PIN anders lautet. Diverse Banken können das allerdinmgs -noch- gar nicht. Wird sich aber nach aktuellem Stand im Sommer nächsten Jahres ändern.

Können tun das Genobanken. Das Wissen, wie und wo ist geheim! Nein, Scherz, es wird eher unabsichtlich aktiviert.
Mich hat das bisschen Sicherheitsgewinn noch nie überzeugt, es löst Probleme, die wir nicht haben und macht Ärger, den die meisten nicht wollen.

Den Generator muß er nicht klauen, da kann er jeden hernehmen.

Ganz genau. Und verwechseln es mit der Geldautomaten-PIN oder der Kontozugangs-PIN. Wäre viel Ärger und vorallem teurer Supportaufwand für die Banken...

Ganz echt! Der "TAN-Generator" ist nur ein Stück Hardware für Eingabe (via Tasten oder Flackercode) und Ausgabe (via Display). Er hat keinerlei "Intelligenz". Die komplette Anwendung - also die Generierung der TAN - erfolgt im Chip der eingesteckten Karte. Du kannst die mit dem Konto verknüpfte Karte in jeden TAN-Generator stecken, das Ergebnis ist überall gleich.

Wie kann die Bank wissen? Das ist die Kryptografie. Der Chip auf der Karte errechnet kryptografisch abgesichert eine bestimmte Abfolge von TANs. Allerdings sind diese nicht fix sondern es fließen noch Parameter ein (wie Betrag und Empfängerkonto), so dass die TAN eben nur für diesen einen, bestimmten Auftrag gilt. Die Schlüssel, die im Chip der bestimmten Karte vorhanden sind, sind auf dem Bankrechner auch vorhanden, so dass der Bankrechner mit den gleichen Parametern die gleiche TAN errechnen kann. Wenn also nun die vom Kunden eingegebene TAN gleich der ist, die der Bankrechner errechnet hat, paßt alles und der Auftrag wird ausgeführt. Bei jedem ausgeführten Auftrag wird der Zähler sowohl im Chip als auch auf dem Bankrechner um 1 weitergeschaltet, so dass der Chip beim nächsten Mal die n+1te TAN errechnet und der Bankrechner die n+1te TAN erwartet. Solange das synchron läuft, paßt alles. Wenn es auseinander läuft, z.B. weil man mal eine TAN erzeugt hat aber diese dann nicht genutzt hat, läuft es auseinander. Damit es da nicht sofort kracht, akzeptiert der Bankrechner TANs in einem bestimmten Fenster. Also z.B. hat der Chip in seinem Leben, die 105te TAN erzeugt, der Bankrechner würde aber die 104te erwarten. Es wird trotzdem funtionnieren. Anhand des Offsets kann sich der Bankrechner dann auch wieder synchronisieren und wird beim nächsten Mal dann die 106te TAN erwarten.
Und für krasse Fälle gibt es noch eine Synchronisierungsdialog im WebBanking der jeweiligen Bank, auf den man im Fall des Falles zwangsweise geschickt wird. Es gibt eine Prozedur, bei der man am Generator den Zähler im Chip (ATN genannt) anzeigen kann. Diesen Wert und eine damit generierte TAN gibt man ein dann ist beides wieder synchron.
Es kommt mit jeder verschiedenen gesteckten Karte eine verschiedene TAN raus - der Bankrechner ist nur "zufrieden", wenn die TAN rauskommt, die der Chip der Karte, die mit dem Konto verknüpft ist, eingesteckt war...

Und ja, die Flackerei ist etwas nervig. Allerdings gibts da heute bessere Möglichkeiten. Da werden dann die Daten zum Generator via usb übertragen oder auch via Bluetooth - und auf dem gleichen Weg wird die generierte TAN wieder auf den Rechner übertragen, so dass man nur noch OK am Generator drücken, aber die TAN nicht mehr abtippen muss. So macht das Verfahren durchaus "Spaß". Und es ist halt von der Sicherheit her der SMS-TAN um Welten überlegen.

aber wir kommen ja leicht von der Frage des Threadstarters weg - ihm ging es ja um Sicherheit, die er in der zusätzlichen Eingabe der PIN sieht.
denn im Thread topic.php?p=138714 hatte es ja auch eine Sicherheitsfrage.

seine Bedenken konnten wir noch nicht "lösen", trotz dem Hinweis der geringen Kundenhaftung (Bank trägt größeres Risiko) usw.
... bzw. dessen, dass Papier-Überweisung viel unsicherer sind (bspw. noch keine Sperre bei der "betroffenen Sparkasse" vom Kunden vorliegt.)

ich führe es immer wieder bei solchen Anfragen an, dass onlinebanking generell sicherer ist als der "altherkömmliche Weg" über Papier.
Sollte dies nicht beim User/Gesprächspartner ankommen (wie auch oben aufgeführt) stellt sich doch die Frage der Haftung, die nunmal durch die EU/Gerichte sehr gering ist und teilweise von den Banken (freiwillig) gegen 0 geht bzw. durch eine Versicherung** abgedeckt werden kann.

Der ThreadStarter hat jedoch aus den bisherigen 3 Postings die Angst (so versteh ich die Anfragen) dass wenn der Zugang am PC oder Handy (wobei hier ja eine PIN/Passwort/Finger-Sperre o.ä. überwunden werden muss und danach nochmals die von der Software/App) "frei zugänglich" ist, dass dann die Autorisierung mit der Karte ein einfaches sei.
Ich glaub nicht, dass jemand alle Sperren einfach umgehen kann - aber meine Meinung ist ja nicht gefragt
und so wie ich es verstanden habe, geht es auch nicht um eine generelle Sperre von allen Usern (weil da bin ich ja bei @Raimund und bei Dir, zuviel Aufwand) aber für den Threadstarter nicht - er schläft dann anscheinend ruhiger, wenn er der Bank hilft, den sehr theoretischen Schadenfall abzuwenden.

Dh. der TS muss seine Bank (Sparkasse) kontaktieren und dort nachfragen, ob die weitere Sicherheiten anbieten (bzw. freischalten).
... und auf der anderen Seite wie o.e. sollten dann aber auch div. Wege komplett geschlossen werden, keine Papier/Fax und Telefonaufträge, weil sonst hilft auf der einen Seite die Sicherheit nichts, wenn ein Schlupfloch vorhanden ist.

**= Versicherung bspw.
https://www.homebanking-hilfe.de/forum/topic.php?t=18373
https://www.homebanking-hilfe.de/forum/topic.php?t=19666

Sappralott, das sind Gedanken, die ich in der Form noch nie hatte, aber wenn ich sie so lese geben sie mir auch zu denken. Das klingt mir so, als könnte durchaus was dran sein.